附件网上银行系统信息安全通用规范(试行)中国人民银行目录1 使用范围和要求 (4)2 规范性引用文件 (4)3 术语和定义 (5)4 符号和缩略语 (6)5 网上银行系统概述 (6)5．1 系统标识 (6)5．2 系统定义 (7)5．3 系统描述 (7)5．4 安全域 (8)6 安全规范 (9)6．1 安全技术规范 (9)6．2 安全管理规范 (22)6．3 业务运作安全规范 (26)附l 基本的网络防护架构参考图 (30)附2 增强的网络防护架构参考图 (31)前言本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、管理和业务运作三个方面。

本规范分为基本要求和增强要求两个层次。

基本要求为最低安全要求，增强要求为本规范下发之日起的三年内应达到的安全要求，各单位应在遵照执行基本要求的同时，按照增强要求，积极采取改进措施，在规定期限内达标。

本规范旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。

本规范既可作为网上银行系统建设和改造升级的安全性依据，也可作为各单位开展安全检查和内部审计的依据。

1使用范围和要求本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范，适用于规范网上银行系统建设、运营及测评工作。

2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。

凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范，然而，鼓励根据本规范达成协议的香方研究是否可使瑚这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本规范。

GB/'IT20983-2008信息安全技术网上银行系统信息安全保障评估准则GB/T22239-2008信息安令技术信息系统安全等级保护基本要求GB/T 20984-2007信息安全技术信息系统风险评估规范GB/T 1 8336.1-2008信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型GB/T 1 8336.2-2008信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求GB/T l 8336.3-2008信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求GB/T 22080-2008信息技术安全技术信息安全管理体系要求GB/T 22081-2008信息技术安全技术信息安全管理使用规则GB/T 14394-2008计算机软件可靠性和可维护性管理GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求《中围人民银行关丁进一步加强银行业金融机构信息安全保障工作的指导意见》(银发(2006) 123号)《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》(银发(2009) 142号)《中国人民银行办公厅关于贯彻落实<中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知>的意见》（银办发〔2009〕149号）3术语和定义GB/T 20274确立的以及下列术语和定义适用于本规范。

3．1网上银行商业银行等金融机构通过互联网等公众网络基础设施，向其客户提供各种金融业务。

3．2互联网因特网或其他类似形式的通用性公共计算机通信网络。

3．3敏感信息任何影响网上银行安全的密码、密钥以及交易数据等信息，密码包括但不限于转账密码、查询密码、登录密码、证书的PIN码等。

3．4客户端程序为随上银行客户提供人机交互功能的程序，以及提供必需功能的组件，包括但不限于：可执行文件、控件、静态链接库、动态链接库等。

3．5 USB Key一种USB接口的硬件设备。

它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书。

3．6 USB Key固件影响USB Key安全的程序代码。

3．7强效加密一个通用术语，表示极难被破译的加密算法。

加密的强壮性取决于所使用的加密密钥。

密钥的有效长度应不低于可比较的强度建议所要求的最低密钥长度。

对于基于密钥的系统(例如3DES)，应不低于80位。

对于基于因子的公用密钥算法(例如RSA)，应不低于1024位。

4符号和缩略语以下缩略语和符号表示适用于本规范：CA 数字证书签发和管理机构(Certification Authority) Cookies 为辨别客户身份而储存在客户本地终端上的数据COS 卡片操作系统(Card Operating System)C/S 客户机/服务器(Client/Server)DOS/DDOS 拒绝服务/分布式拒绝服务(Denial of Service／Distributed of Service)IDS/IPS 入侵检测系统／入侵防御系统(Intrusion DetectionSystem／Intrusion Prevention System)IPSEC IP安全协议OTP 一次性密码(One Time Password)PKI 公钥基础设旅(Public Key Infrastructure)SSL 安全套接字层(Secure Socket Layer)SPA/DM 简单能繁分析／差分能量分析(Simple Power Analysis／Differential Power Analysis)SEMA/DEMA 简单电磁分析／差分电磁分析(Simple Electromagnetism Analysis Differential Electromagnetism Analysis)TLS 传输层安全(Transfer Layer Secure)VPN 虚拟专用网络(Virtual Private Network)5 网上银行系统概述5.1 系统标识在系统标识中应标明以下内容：一名称：XX银行网上银行系统一所属银行5.2 系统定义网上银行系统是商业银行等金融机构通过互联网等公众网络基础设施，向其客户提供各种金融业务服务的一种重要信息系统。

网上银行系统将传统的银行业务同互联网等资源和技术进行融合，将传统的柜台通过互联网向客户进行延伸，是商业银行等金融机构在网络经济的环境下，开拓新业务、方便客户操作、改善服务质量、推动生产关系变革等的重要举措，提高了商业银行等金融机构的社会效益和经济效益。

5．3 系统描述网上银行系统主要由客户端、通信网络和服务器端组成。

5．3.1客户端网上银行系统客户端不具备或不完全具备专用金融交易设备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力，因此，需要辅助安全设备，并通过接受、减轻、规避及转移的策略来应对交易风险。

因此，网上银行系统客户端应包括基本交易终端和专用辅助安全设备。

基本交易终端目前主要为电脑终端，将来可包括手机、固定电话等。

专用辅助安全设备用于保护数字证书、动态口令和静态密码等，应按照其在交易中具备的可信通讯能力、可信输出能力、可信输入能力、可信存储能力和可信计算能力等五种能力的组合对其进行分类分析，并制订与之适应的交易安全风险防范策略。

5。

3．2通信网络网上银行借助互联网技术向客户提供金融服务，其通信网络的最大特点是开放性，开放性带来的优点是交易成本的降低和交易便利性的提高，缺点是交易易受到安全威胁及通讯稳定性降低。

因此，网上银行业务设计应充分利用开放网络低成本和便利的特点，有效应对开放网络通讯安全威胁，同时采取手段提高交易稳定性和成功率。

5.3.3服务器端：网上银行系统服务器端用于提供网上银行应用服务和核心业务处理，应充分利用各种先进的物理安全技术、网络安全技术、主机安全技术、访问控制技术、密码技术、安全审计技术、系统漏洞检测技术和黑客防范技术，在攻击者和受保护的资源间建立多道严密的安全防线。

5.4 安全域网上银行系统是一个涉及不同的应用系统、客户对象、数据敏感程度等的复杂信息系统。

在网上银行系统的描述中，应根据应用系统、客户对象、数据敏感程度等划分安全域。

安全域是一个逻辑的划分，它是遵守相同的安全策略的用户和系统的集合。

通过对安全域的描述和界定，就能更好地对网上银行系统信息安全保障进行描述。

具体而言，网上银行系统主要包括：客户端、网上银行访问子网、网上银行业务系统、中间隔离设备和安全认证设备等。

如图1所示：．外部区域：网上银行的用户，安装网上银行客户端，通过互联网访问网上银行业务系统；安全区域一：网上银行访问子网，主要提供客户的Web访问；安全区域二：网上银行业务系统，主要进行网上银行的业务处理；银行内部系统：银行处理系统，主要进行银行内部的数据处理。

6 安全规范作为金融机构IT业务应用系统之一，网上银行系统需要与其他业务应用系统一起纳入金融机构全面的风险管理体系中。

网上银行信息安全规范可分为安全技术规范、安全管理规范和业务运作安全规范。

安全技术规范从客户端安全、专用辅助安全设备安全、网络通信安全和网上银行服务器端安全几个方面提出；安全管理规范从组织结构、管理制度、人员及文档管理和系统运行管理几个方面提出，业务运作安全规范从业务申请及开通、业务安全交易机制、客户教育几个力面提出。

下面将分别对其进行阐述。

6.1安全技术规范6．1．1客户端安全6．1．1．1客户端程序A．基本要求：a) 客户端程序上线前应进行严格的代码安全测试，如果客户端程序是外包给第三方机构开发的，金融机构应要求开发商进行代码安全测试。

金融机构应建立定期对客户端程序进行安全检测的机制。

b) 客户端程序应通过指定的第三方中立测试机构的安全检测。

c) 客户端程序应具有抗逆向分析、抗反汇编等安全性防护措施，防范攻击者对客户端程序的调试、分析和篡改。

d) 客户端程序的临时文件中不应出现敏感信息，临时文件包括但不限于Cookies。

客户端程序应禁止在身份认证结束后存储敏感信息，防止敏感信息的泄露。

e) 客户端程序应防范键盘窃听敏感信息，例如防范采用挂钩Windows键盘消息等方式进行键盘窃听，并应具有对通过挂钩窃听键盘信息进行预警的功能。

f) 客户端程序应防范恶意程序获取或篡改敏感信息，例如使用浏览器接口保护控件进行防范。

B．增强要求：a) 客户端程序应保护在客户端启动的用于访问网上银行的进程，防止非法程序获取该进程的访问权限。

b) 进行转账类交易时，客户端程序应采取防范调试跟踪的措施，例如开启新的进程。

c) 客户端程序应采用反屏幕录像技术，防止非法程序获取敏感信息。

6.1.1.2密码保护A．基本要求：a) 禁止明文显示密码，府使心相同位数的同一特殊字符(例如*和#)代替。

b) 密码应有复杂度的要求，包括：·长度至少6位，支持字母和数字共同组成。